Поиск неактивных пользователей в Active Directory
Добрый день уважаемые читатели и подписчики, продолжаем с вами изучение возможностей Powershell и Active Directory. Как вы помните у нее все учетные записи пользователей и компьютеров, находятся в базе данных NTDS.dit, все здорово и централизованно. Когда в компании больше одного системного администратора, может получиться ситуация, что в ней накапливается мусор и лишние учетные данные. Все мы люди и какие-то вещи можем забывать, а в какие-то моменты нас могут отвлечь, что приведет, так же к забыванию важной информации. И приходим, мы к тому, что в Actvie Directory накапливаются не активные пользователи (уволенные или забытые), в любом случае, хороший системный администратор должен их выявлять, отключать и дальше по желанию удалять, чем мы и займемся.
Как найти устаревшие учетные записи пользователей
Через оснастку ADUC
В прошлый раз я вам уже приводил пример использования оснастки Active Directory Пользователи и компьютеры, через которую мы искали пропавшие компьютеры в локальной сети, которые не появлялись уже месяц. Сейчас сделаем все то же самое и с пользовательскими учетными записями. У меня AD на Windows Server 2012 R2, открываем ADUC, для этого нажмите WIN+R и введите dsa.msc.
Далее переходите в пункт Сохраненные запросы, данный пункт появился еще в 2008 версии. Щелкаем по нему правым кликом и выбираем Создать > Запрос.
В открывшейся форме запроса задайте:
- Имя запроса > у меня это потерявшиеся пользователи
- Описание при необходимости
- Корень запроса > тут можно оставить весь домен, либо же конкретизировать на нужном OU
После чего жмем кнопку запрос.
На вкладке пользователи видим пункт "Число дней со времени последнего входа в систему" я для примера поставил 60 дней.
В итоге вы получите нужный вам список, неактивных учетных записей сотрудников.
Через оснастку powershell
Все то же самое можно сделать и через Powershell. Сразу приведу код, задачей которого идет поиск неактивных пользователей, для этого я выбрал период 45 дней, отключение данных пользователей и перемещение в специально отведенную для этого OU.
$users = Get-ADUser -Properties LastLogonDate -Filter {LastLogonDate -lt $date_with_offset } | Sort LastLogonDate
foreach ($user in $users) {set-aduser $user -enabled $false; move-adobject -identity $user -targetpath "ou=Уволенные,ou=Мск Л. пользователи,ou=Местоположение,dc=msk,dc=contoso,dc=com"}
Get-ADUser -Properties LastLogonDate -Filter {LastLogonDate -lt $date_with_offset } | Sort LastLogonDate | FT Name, LastLogonDate -AutoSize | Out-File c:\Script\users.txt
- В первой строке вы объявляете переменную, в которой задаете срок поиска
- Создаем переменную и делаем выборку по последнему времени логина
- Перемещаем пользователей
- Делаем отчет в файл
Еще полезные вещи по работе с пользователем. Перед использованием ниже команд, нужно загрузить модуль Active Directory, через команду
Далее получаем справку по команде Get-ADUser
Теперь посмотрим на базовые параметры пользователя, через команду
Как видите не особо информативно, но из полезного есть SID учетной записи пользователя.
Более детально по свойствам можно посмотреть вот такой строкой.
Через такую конструкцию вы можете выводить конкретные поля.
Как видите способов получения списка неактивных пользователей Active Directory хватает, так, что выбирайте, то что вам по душе.
Популярные Похожие записи:
Как удалить sIDHistory у объектов Active Directory- Get-ADUser и примеры использования
- Get-ADComputer: примеры вывода данных о компьютерах Active Directory
- Get-ADGroup: Управление группами Active Directory
- Как преобразовать GUID пользователя Active Directory в имя
- Ошибка ssh Windows id_rsa bad permissions
Спасибо за полезные LDAP запросы
добрый день.
LastlogonDate не меняется если пользователь залогинися на компьютер и работает без перезагрузки месяц, но станцию блокирует, такое бывает. а как найти пользователей, которые не аутентифицировались (я так понимаю что при разблокировке станции именно это и происходит) на контроллере последние N дней?
задача отсеять в AD неактивных пользователей.